exe.tmp.tmp

dddirsaya

我传了两张进程图，有没有什么帮助？

ximo

行为分析对修复没什么意义！

dddirsaya

我想知道是什么主导这些病毒的，C盘有首脑么，我先干掉他，否则防火墙一开也得卡死，阻止都阻止不过来

我那两张图上有个进程是名字一样的，怎么辨别真伪

ximo

对比了一下你传的2个程序，发现太邪了。。。
未被感染的程序用UPX加的壳，程序是delphi写的
而被感染后的程序完全是MFC的，不像上兴，女王那种子母式的捆绑壳
而从大小上来看，虽然未被感染的那个比感染后的小一点，但是，那是压缩的结果，所以，感染后的文件的大小也比原文件要下，都不知道原来的代码都跑哪去了。。。郁闷
再者，你感染后的文件都无法运行，怀疑是覆盖式感染，这样的情况，能力有限，根本找不到办法来进行修复，没办法，只能全盘格，重装系统，然后重新下了

凝逸反毒

原帖由 ximo 于 2009-3-24 09:59 发表
对比了一下你传的2个程序，发现太邪了。。。
未被感染的程序用UPX加的壳，程序是delphi写的
而被感染后的程序完全是MFC的，不像上兴，女王那种子母式的捆绑壳
而从大小上来看，虽然未被感染的那个比感染后的小一点 ...

与我分析一样

dddirsaya

我不理解的是，我刚下的卡巴斯基到桌面图标好好的可是放到D盘图标立马就变了，大小我对比过一摸一样的啊，D盘那个也是能运行的，你能否帮我做一个扫描被感染的文件让我好有针对性的删除啊，全删我真的痛心疾首，难道我除了C盘不删其他全要格掉？？

328397663

25楼

exe文件  卡巴定义Trojan.Win32.Agent.bwwl
F9POP33LWINJ.tmp,
KO1OT.tmp,
N44K5MQ.tmp,
XKII1JO.tmp,
ZS2OLNQQ64DB.tmp

No malicious code were found in these files.

[ 本帖最后由 328397663 于 2009-3-24 15:47 编辑 ]

dddirsaya

25楼我传的东西是附属生成的，除了exe.tmp之类的还有很多个exe 我就是打包上来让你们分析的

dddirsaya

我在C盘的东西只要是EXE结尾的一放到其他盘图标立马就变得粗糙，其他盘的目录下有这样几个隐藏文件，其他都没有
$RECYCLE.BIN     autorun.inf         RECYCLER     System Volume Information
我也没做过什么优化autorun.inf 这个不该有的吧，我这种情况是为什么呢，为什么一放到别的盘图标就变化，其他盘里到底有什么才导致会这样啊

我是小菜鸟

关注留名，看看autorun指向那个文件呢？